Data retention: per quanto tempo conservare i dati?

La “data retention” indica il periodo di conservazione dei dati. Ad oggi non esiste una normativa che indichi il termine specifico per il loro trattamento, ma il GDPR pone un limite importante attraverso il principio di limitazione, il quale indica che i dati debbano essere trattati solo per il tempo indispensabile alle finalità espresse.

Molte normative interne risultano però in contrasto con questo principio, soprattutto in ambito del trattamento e della conservazione dei tabulati telefonici per questioni probatorie.

I principali articoli del GDPR che fanno riferimento alla conservazione dei dati sono:

  • Art. 5 GDPR il quale introduce il concetto di “scadenza” della finalità del trattamento.
  • Art. 13 GDPR il quale prevede che nell’informativa privacy debbano essere riportati il tempo di conservazione o i criteri per la definizione dello stesso.

Come stabilire il tempo della data retetion?

Ad oggi il GDPR non permette di trattare e conservare i dati senza aver stabilito uno specifico limite temporale, infatti i criteri stabiliti da esso sono fondamentali:

  • La chiarezza e la trasparenza della conservazione dei dati.
  • Se non si può stabilire un limite chiaro, occorre attuare un criterio secondo il quale l’interessato possa sapere con assoluta certezza quando i suoi dati non verranno più trattati.
  • La durata del trattamento deve essere specificata all’interno del registro dei trattamenti nell’informativa privacy (Leggi Come redigere un’informativa privacy per il web?”).

Data retention secondo la Corte di Giustizia

La Corte di Giustizia dell’Unione Europea si è espressa per due volte su questioni relative alla data retention.

Digital Rights

Tale sentenza ha dichiarato illegittima la Direttiva Frattini – 2006/24/CE, la quale determina i criteri e la disciplina per la conservazione e il trattamento dei dati personali dei tabulati telefonici per ragioni probatorie. In particolare questa sentenza dell’UE sosteneva che ci fosse uno scarso bilanciamento tra il diritto alla protezione dei dati personali e la sicurezza pubblica.

Sent. 4 Aprile 2022

In questa sentenza viene ricordato che i governi degli Stati Membri dell’UE non possono assolutamente consentire la conservazione dei dati libera ed indiscriminata del traffico dati e della localizzazione delle comunicazioni elettroniche.

Casi pratici: data delivery

Una società di delivery food controllata da Glovo, la Foodinho S.r.l., è stata contestata e sanzionata per molteplici violazioni, in particolare una relativa all’informativa privacy consegnata da un titolare ai suoi dipendenti. In questa informativa veniva dichiarato che “i dati vengono trattati solo per il tempo necessario a conseguire le finalità per le quali sono state raccolti e, in qualunque caso, non oltre la cessazione del rapporto collaborativo”. Questa espressione è risultata per il Garante della Privacy decisamente troppo vaga e quindi non attinente ai principi di chiarezza e trasparenza sopra citati.

La seconda sanzione del Garante invece è stata prevista nei confronti di Deliveroo Italy S.r.l. che ha violato il principio di trasparenza in un’informativa privacy dichiarando che “non conserveremo le tue informazioni per un periodo di tempo più lungo rispetto a quanto reputiamo sia necessario”.

Violazione del trattamento dati: cosa rischi?

È necessario rispettare due aspetti chiave del principio di accountability:

  • Dimostrare di aver valutato correttamente i bisogni di conservazione dei dati e di aver definito tempi e criteri in modo coerente.
  • Dimostrare di aver implementato misure adeguate a monitorare questi tempi e criteri, compresi i sistemi di allerta per assicurare il rispetto delle regole stabilite.

Queste misure devono poi essere correttamente integrate con i sistemi di conservazione dei dati. La violazione di questi parametri può portare a contestazioni da parte del Garante della Privacy e altre autorità competenti.

Valutazione etiche

È particolarmente difficile stabilire alcuni tempi tecnici per il trattamento e la conservazione dei dati, tuttavia non può essere ammessa la vaghezza. Questo perché parliamo di dati personali, e i dati sono ad oggi le informazioni più importanti che toccano la nostra sfera più intima. Dunque la data retention può davvero essere la porta d’accesso cronometrata ad alcune nostre informazioni estremamente private, che consentono a chiunque le detenga di distinguere ed individuare un soggetto da un altro, impedendo a ciascuno di avere la privacy che merita.


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Consenso ai cookie GDPR con Real Cookie Banner